二、制度检查。自查工作小组根据《关于开展重要信息系统及重点网站安全检查工作的通知》,对前郭队的网络安全工作的基本情况以及网站的安全保护情况的相关制度进行了检查,现有制度有:网络与信息安全管理制度、内网计算机与互联网连接制度、终端计算机安全管理制度、桌面安全管理系统制度及其他网络安全管理手段及措施制度。及时发现了问题,要求建立健全信息安全年度预算制度、信息安全发展规划。
二、制度检查。自查工作小组根据《关于开展重要信息系统及重点网站安全检查工作的通知》,对前郭队的网络安全工作的基本情况以及网站的安全保护情况的相关制度进行了检查,现有制度有:网络与信息安全管理制度、内网计算机与互联网连接制度、终端计算机安全管理制度、桌面安全管理系统制度及其他网络安全管理手段及措施制度。及时发现了问题,要求建立健全信息安全年度预算制度、信息安全发展规划。
这种对信息化依赖程度的提高也使信息安全问题日益凸显。北京市海淀区信息办副主任王晖说:“为了高效安全地进行电子政务,我们迫切需要搞好信息安全保障工作。”
不过,该如何做好信息安全保障工作,许多用户并不知该从何处着手。由于我国信息安全管理标准尚未出台,用户可以借鉴的大多是国外的信息安全标准,或是其他用户的经验。但很显然的是,这种行为无法兼顾适用性和合理性,最终也很难为用户带来期待中的安全保障。
随着信息化应用的不断深入,信息安全问题也得到了我国政府的高度重视,多次强调做好信息安全保障工作的重要性。国务院信息化工作办公室(国信办)继电子政务信息安全试点取得阶段性成功后,又于2006年3月启动了“信息安全管理标准应用(ISMS)试点”工作,这为推动信息安全管理标准的出台做好了准备工作。经过将近一年的试点工作,北京、上海、深圳、福建、武汉等地的试点单位探索出了哪些方法和值得借鉴的宝贵经验?国际标准能否兼顾我国具体应用中的适用性与合理性需求?将要出台的信息安全中国标准还应在哪些方面进一步完善?1月23日,国信办在深圳召开了信息安全管理标准应用(ISMS)试点总结会,对这些问题进行了深入的探讨和解答。
试点任务圆满完成
在此次“信息安全管理标准应用(ISMS)试点总结会”上,国信办对从2006年3月开始启动的“信息安全管理标准应用(ISMS)试点”工作进行了全面的总结。与会领导和专家一致认为,这次试点工作是继电子政务信息安全试点取得很大成功后的又一次非常及时、非常必要的信息安全工作,试点工作取得了圆满成功,相信这将为国家信息安全主管部门制定相关管理政策提供很重要的客观依据。
国务院信息化工作办公室安全组赵泽良副司长对于此次试点工作和各试点单位的工作都给予了充分的肯定:“此次信息安全管理体系试点是国信办为了更好地落实27号文件、更好地加强信息安全管理而开展的一项重要工作,这项工作在有关领导的关注下,在各试点单位领导的高度重视及有效组织下,在试点专家组的具体指导下,在全国信息安全标准化技术委员会的大力支持下,取得了圆满成功,试点的经验非常丰富,这些经验在信息安全管理以及整个信息安全保障工作中都有着非常重要的推广和借鉴作用。”
早在2003年7月22日召开的国家信息化领导小组第三次会议上,就讨论并通过了《关于加强信息安全保障工作的意见》(中办发[2003]27号文件)。27号文件的颁布标志着我国全面启动了信息安全保障体系的建设,并以中央文件的形式将信息安全工作提上到“保障”信息化发展的高度。
为了贯彻落实27号文件提出的在信息安全保障工作中坚持“管理与技术并重”的原则,抓紧制定急需的信息安全管理和技术标准,形成与国际标准相衔接的中国特色的信息安全标准体系,国务院信息化工作办公室协同全国信息安全标准化技术委员会组织了“信息安全管理标准应用(ISMS)试点”工作。
国信办安全组熊四皓处长表示:“要想形成与国际标准相衔接的中国特色的信息安全标准体系,就首先必须验证国际上通用的信息安全管理标准(ISO/IEC 27001:2005《信息安全管理体系要求》和ISO/IEC 17799:2005《信息安全管理实用规则》)在我国的适用性和合理性;其次还要了解和掌握构建信息安全管理体系的程序、步骤和方法;并探索信息安全管理体系建设与风险评估、等级保护等信息安全保障工作之间的关系。试点工作的重要作用就是在试点中发现并解决这些问题,这样才能够制定出适合我国需求的信息安全管理和技术标准。”
国信办信息安全管理标准应用试点工作专家组成员崔书昆在总结验收工作时也特别强调了试点工作对于探索和解决以上三方面的问题所起到的至关重要的作用,尤其是对于将来标准的出台更是意义重大。
正是为了更深入和全面地探索、解决这些问题,此次试点选择了税务、证券等重要信息系统部门(行业)以及北京市、上海市、武汉钢铁集团等5个单位共7个系统开展工作。对于此次试点工作,国信办以及接到试点工作任务的各单位信息办领导都高度重视,国信办专家组先后多次到试点地区进行调研和总结,最终保证了试点目标的圆满完成。
验证适用性与合理性
国际上通用的信息安全管理标准ISO/IEC 27001:2005《信息安全管理体系要求》和ISO/IEC 17799:2005《信息安全管理实用规则》是否适合我国的具体情况、在不同的行业是否具有适用性和合理性,是此次试点工作探索的首要问题。
国信办安全组赵泽良副司长强调说:“在信息安全管理标准工作中,我们第一方面就是要验证国际标准的适用性问题。在这方面,各试点单位在探索适用性的基础上都有所扩展,在验证标准适用性的同时,也验证了合理性和可操作性的问题,同时探索了构建信息安全管理体系的具体方法、思路和工作流程。”
在各试点单位中,深交所、北京海淀、北京公积金、上海宝山、上海医保和武钢等六家单位认为ISMS标准是“适用的”或“总体上是适用的”;而福建地税认为“并不完全适合我们国内的实际情况,引进时特别要注意本地化工作”。相信这些经验都会为ISMS国家标准的制定奠定坚实的基础。
“我们认为ISO/IEC 27001:2005是一个基于企业信息安全管理的通用标准,并不完全适合我们国内的实际情况,特别是税务系统这样的政府机关部门,引进时要进行本地化工作。”福建地税相关负责人陶晶表示,“我们的试点工作就是为了总结出与税务系统行业特征相适宜的信息安全管理规范和办法。而通过此次试点的工作,我们进一步优化、改进和加强了现有信息安全管理运行体系的有效性和适用性。我们相信只有适合的才是最好的。”
武钢相关负责人在总结时也提出:“通过试点,我们认为IS0/IEC 27001:2005和ISO/IEC 17799:2005这两个ISMS标准在武钢总体上是适用的。但ISO/IEC 17799:2005中的‘数据保护和个人信息的隐私’、‘密码控制’、‘职责和程序’等条款应考虑与我国实际情况相结合。”
这些在试点中出现的问题和争论正是我们希望看到的,试点并不是我们的最终目的,在试点中探索出适合我国的信息安全管理标准才是我们的任务。就好像试点工作促进了各试点单位建立高层管理者参与和负责的信息安全组织机制一样,这个机制不仅是为试点工作而建的,更应该成为试点单位今后信息安全工作的一个长效组织机制,为试点单位的信息安全工作提供组织保障。
而在探索适用性问题的同时,了解和掌握构建ISMS的程序、步骤和方法也是此次试点的重要目标。各试点单位都按照PDCA的方法,通过建立组织机构,编制了ISMS体系文件,并结合所在行业和系统的特点构建了本单位的ISMS。这些工作将会为政府机关、税务系统、大型制造企业、证券交易系统、医疗保险系统、住房公积金管理等行业和系统建立实施ISMS提供宝贵的经验和借鉴。
“试点工作已经使‘文件化’的原则深入人心,各试点单位都建立了符合ISO/IEC 27001:2005要求的、文件化的ISMS,并编制了大量的体系文件。”国信办信息安全管理标准应用试点工作专家组成员崔书昆说,“在信息安全方面规定应该做什么并形成文件,然后按照文件规定的去做,最后检查所做的是否符合文件规定和是否需要改进,这一PDCA的有效方法已经被各试点单位所普遍认识和接受。”
探索风险评估与等级保护
风险评估和等级保护都是在信息安全建设中的重要环节,当然在信息安全管理体系的建设中更是至关重要的先决条件。此次,各试点单位对ISMS与风险评估和等级保护等其他工作的关系也进行了深入的探索和研究。
“这次,另外一个重要的目标就是要讨论我们的信息安全管理体系和其他各项工作的关系,比如说与等级保护的关系,与风险评估的关系,我们的目标非常明确。我觉得更值得肯定的是我们几家试点单位在这个大的总体的目标下面,与试点目标实践相结合,把它更加地具体化、本地化、本单位化。”国务院信息化工作办公室安全组赵泽良副司长说。
全国信息安全标准化技术委员会副秘书长吴志刚也强调了风险评估的重要性:“作为ISMS建立和实施过程中一个重要的环节,风险评估和风险处理是必需的。通过这次试点,各试点单位都实施了一次全面的风险评估,这也间接促进了各试点单位风险评估工作的开展。”
其中,北京公积金管理中心重点研究了适合ISMS建设的风险评估方法,结合电子政务的等级保护工作,探索出了等级化的信息安全管理体系建立的流程和步骤。
“我们结合《信息安全风险评估指南》设计了一种适合于ISMS体系建设的风险评估方法。该方法运用层次分析的方式,通过构建评估风险的层次结构模型,并确定评估指标,对组织的安全状况进行了全面、科学地评价,该方法在试点应用中取得了较好的效果。”北京公积金管理中心主任王志军介绍说。
“另外,我们认为信息安全管理体系的建立过程应该要结合电子政务的等级保护工作来进行,一方面可以切实地建立适用于电子政务的信息安全管理体系,另一方面可以推动电子政务等级保护工作的实施,为此我们尝试着进行等级化信息安全管理体系的建立。”
为了分析通过信息安全管理体系来建设等级保护安全管理的可行性,北京公积金管理中心比较了ISO 17799控制措施和等级保护安全管理的要求。通过比较总结出,ISO 17799的控制措施包含了等级保护安全管理方面的绝大多数要求。而等级化信息安全管理体系实施流程的第五阶段“选择风险控制措施”,已经结合信息系统确定的安全等级的要求,从等级保护相关标准中补充选择ISO 17799之外的控制措施,所以完全满足等级保护安全管理的要求。
“关于ISMS与风险评估的关系,虽然现在有人认为在27001标准中已经把所有的控制点规定清楚了,所以没有必要再做风险评估了。可是我们认为在建立ISMS之前还是要先完成风险评估,只有通过风险评估才能盘点我们现有信息资产,不至于遗漏。特别是像我们税务系统这类采用垂直管理的,最好能建立一套统一的风险评估流程和技术手段,找到信息安全的共同点之后再建立ISMS。”福建地税在此次试点中也探索了适合在税务系统内推广的经验。
福建地税负责人强调说:“在ISMS的建立过程中,将等级保护工作加入其中是必要的。只有在信息资产安全等级确定的情况下,建立的ISMS才更具有有效性,技术手段才更具有针对性。”
而除了ISMS与风险评估和等级保护的关系,与其他已经实施的管理体系的整合也非常重要,比如ISMS与QMS(质量管理体系)的整合。此次,部分试点单位如上海医保、武钢、北京海淀等在试点工作前已经建立和实施了QMS并通过了QMS认证,试点工作中,他们注重研究ISMS与QMS等管理体系的整合,也为多个管理体系的整合做出了有益的探索。
各试点单位实施效果
深圳证券交易所
深圳证券交易所结合已经实施或正在实施的ITMS、BCP、CMMI等工作,历时6个月,ISMS自2006年11月开始试运行。
建立了符合ISO/IEC27001:2005要求的、文件化的ISMS,编制完成了四级体系文件(包括记录表单等)共计149份。
试点工作促进深交所建立了三年信息安全规划,推动了深交所“两网隔离工程”的实施,初步建立了实施ISMS软件的原型。
探索出一个在证券行业有效实施ISMS的方法-BHTP,即B-业务与策略、H人员与管理、T-技术与产品、P-流程与体系; 并从ISMS实施方式、实施范围、实施预算等各个方面对证券行业实施ISMS提出了具体建议。
验证了ISMS标准在证券行业的适用性,并分析了ISMS的标准的优势和缺陷。
北京公积金管理中心
北京公积金管理中心与技术支撑单位一起,结合北京公积金的实际情况,将试点工作目标细化为5项,历时8个月,ISMS自2006年11月开始运行,完成了试点工作。
通过试点工作,更准确、全面地把握了安全现状,在北京公积金建立了切合自身的、文件化的ISMS,形成了包括信息安全管理手册、程序文件以及记录文件在内的三级体系文件共计112份。
探索和研究了适合ISMS建设的风险评估方法,结合电子政务的等级保护工作,探索了等级化信息安全管理体系建立的流程和步骤。
通过试点,建立了信息安全管理的组织机构并明确了责任,任命了信息安全管理委员会主任、管理者代表和内审员。
北京市海淀信息办
北京海淀结合已经实施的ISO9000、等级保护、风险评估等工作,将试点工作目标细化为5项,历时8个月,ISMS自2006年11月开始试运行,完成了试点工作。
建立了符合ISO/IEC27001:2005要求的、文件化的ISMS,编制完成了三级体系文件(包括记录表单等)共计79份。
探索和研究了ISMS与风险评估和等级保护的关系。参考《电子政务信息安全等级保护实施指南》,先按照等级保护制度对其进行定级,然后将对应的等级要求体现到方针中;参考《信息安全风险评估指南》确定了ISMS要求的风险评估方法。
探索和研究了ISMS与QMS(质量管理体系)整合的方法,充分考虑了已经实施并通过了认证的QMS,在组织机构、内部审核、管理评审、文件控制、预防和纠正措施控制等方面,使两个管理体系实现了有机的整合。
上海市医疗保险信息中心
上海市医疗保险信息中心与其技术支撑单位上海市信息安全测评认证中心一起于2006年12月,完成了试点工作方案确定的目标。
通过试点工作,依据ISO/IEC27001:2005建立了相对完整的信息安全管理体系。
对ISMS标准实施与单位具体情况相结合方面做出了积极的实践并积累了经验,包括ISMS与医保信息系统状况融合和ISMS与已经实施的QMS(质量管理体系)的融合。
检验了ISMS标准的适用性。试点工作证明ISO/IEC27001:2005是适用的,并对ISO/IEC17799:2005一些具体控制措施也做出了适用性分析。
上海市宝山区信息委
上海市宝山区信息委与其技术支撑单位上海市信息安全测评中心经过7个多月的共同努力,完成了试点工作方案确定的目标。
建立了体系化的管理规范。从宝山区电子政务平台、接入单位和信息委三个不同层面,分别建立了《上海宝山电子政务平台信息安全管理规范》文件7份、《宝山电子政务平台接入单位信息安全管理规范》文件10份和《上海宝山信息委信息安全管理规范》文件18份。
改善了宝山区系统安全状况。区信息委对在试点过程中发现的安全风险,已立项并投入大量资金,实施“改进”措施,从而大大提升了宝山电子政务系统的安全性。
对ISMS与风险评估和等级保护工作的关系进行了研究和探索,对政府部门建立ISMS提出了建议。
福建地方税务局
福建地方税务局与技术支撑单位中国信息安全测评认证中心一起,周密计划、认真组织,完成了试点工作。
通过试点,对福建地税与惠普公司合作根据BS7799(ISO/IEC17799:2000)完成的19份安全策略及其实施文档,对照ISO/IEC27001:2005,进行了全面整理,并新编制体系文件11份,建立了ISMS。
加强了ISMS的推广与实施,计划以正式文件的形式下发ISMS体系文档,并根据税务系统的实际岗位需要制定了《办税服务厅工作人员安全手册》等四类工作人员的安全手册。
根据ISMS体系文件中机房安全管理守则、外部访问安全策略、内部访问安全策略等文件的规定,规范了ISMS的运行记录。
对ISMS标准的适用性进行了分析,福建地税认为ISO/IEC2700:2005是一个基于企业信息安全管理的通用标准,并不完全适合我们国内的实际情况,特别是税务系统这样的政府机关部门,引进时要进行本地化工作。另外,也对ISMS与风险评估、等级保护的关系进行了研究和探索。
武汉钢铁(集团)公司
武汉钢铁(集团)公司与技术支撑单位上海三零卫士信息安全有限公司一起,对试点工作进行周密计划、精心组织,将武钢的试点工作目标细化分解为九项,历时8个月完成了试点工作。
编制了31份信息安全管理体系文件,按照ISO/IEC27001:2005建立了武钢信息安全管理体系,为下一步通过ISMS认证奠定了基础。
一、引言
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。我国实施的信息系统安全等级保护制度,根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,将信息系统的安全保护等级划分为5个级别,从第一级到第五级逐级增高,对不同安全级别的信息系统实施不同的安全管理。
二、我国信息系统安全等级保护思想的形成
1994年,《中华人民共和国计算机信息系统安全保护条例 》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
20世纪80年代初,美国国防部制定了“国家计算机安全标准”等系列标准,包括《可信计算机系统评估准则》(TCSEC,即俗称的“桔皮书”)及其他近40个相关标准,合称“彩虹系列”。 TCSEC标准是国际上计算机系统安全评估的第一套大规模系统标准,具有划时代的意义。TCSEC将安全产品的安全功能和可信度综合在一起,设立了4类7级。
1999年,我国公安部组织制定了强制性国家标准――《计算机信息系统安全保护等级划分准则》。
2000年11月10日,国家计委批准公安部开展“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台项目”建设。
2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。这标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。
2004年9月,公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),明确了信息安全等级保护制度的原则和基本内容,以及信息安全等级保护工作的职责分工、工作实施的要求等。
2006年1月,公安部、国家保密局、国家密码管理局、国信办联合制定了《信息安全等级保护管理办法(试行)》,并于2007年6月修订。
2007年6月,公安部会同国家保密局、国家密码管理局和国务院信息办联合颁布《信息安全等级保护管理办法》(公通字[2007]43号,以下简称《管理办法》),明确了信息安全等级保护制度的基本内容、流程及工作要求,进一步明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。
三、开展信息系统安全等级保护工作的必要性和重要性
⒈开展信息系统安全等级保护工作的必要性
随着网络新技术的飞速发展和各类信息系统的广泛应用,网络与信息安全也相应出现了许多新情况、新问题,福建省网络与信息安全防护工作面临的形势十分严峻。这就使得开展信息系统安全等级保护工作成为必然。
一是网上斗争日趋复杂,不确定性增强。由于在互联网上传播信息具备快速便捷、低成本、无国界、易消除痕迹、技术变化快等特点,使互联网成为境内外敌对势力、敌对分子从事各种破坏活动的重要工具。我国将长期面临敌对势力的信息优势、技术优势所带来的信息安全威胁。
二是网络违法犯罪活动迅速增多,造成的后果越来越严重。随着新技术、新应用的发展,暴露出来的网络与信息安全问题也日益增多。
三是漏洞数量居高不下,利用漏洞发起攻击仍是互联网最大的安全隐患。安全漏洞是指在网络系统中硬件、软件、协议和系统安全策略等存在的缺陷和错误,攻击者利用这些缺陷和错误可以对网络系统进行非授权的访问或破坏。
四是计算机病毒传播和对网络非法入侵十分严重。据公安机关调查,2007年1-6月,我国平均每月截获计算机病毒6.6万个,累计感染计算机达1.18亿台次。2007年初在我国发生的“熊猫烧香”病毒案,短时间内就出现病毒变种700余个,感染了445万台计算机,大批网民的网上帐号、口令被窃取。
⒉开展信息系统安全等级保护工作的重要性
开展信息安全等级保护工作,就是要解决我国信息安全面临的威胁和存在的主要问题,按标准建设安全保护措施,建立安全保护制度,落实安全责任,加强监督检查,有效保护重要信息系统安全,有效提高我国信息和信息系统安全建设的整体水平。
建立信息安全等级保护制度,开展信息安全等级保护工作,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化信息安全资源的配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。
四、加快推进福建省重要信息系统安全等级保护工作
2007年7月20日,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室在北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。8月13日,福建省公安厅、省保密局、省委机要局、数字福建建设领导小组办公室等四家单位也联合召开“福建省重要信息系统安全等级保护定级工作电视电话会议”。这标志着福建省重要信息系统安全等级保护工作正式启动。
信息系统安全保护工作的首要环节是定级,定级工作是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。信息系统安全级别定不准,系统建设、整改、备案、等级测评等后续工作都将失去针对性。此次福建省重要信息系统安全等级保护工作将分四个阶段进行。
1.突出重点,全面准确划定定级范围和定级对象
此次重要信息系统定级的范围是国家基础信息网络和重要信息系统,这些网络和系统广泛分布在各级党政机关和电信、广电、铁路、银行、民航、海关、税务、电力、证券、保险等数十个行业。将这些基础信息网络和重要信息系统纳入此次定级的重点范围,体现了统筹规划、突出重点、重点保障基础信息网络和重要信息系统安全的总体要求和原则。
2.依据《管理办法》,准确确定信息系统安全保护等级
福建省各运营使用单位和主管部门在全面分析各自信息网络和信息系统在国家安全、社会秩序、公共利益等方面的作用和影响的基础上,根据信息网络和信息系统被攻击破坏后对国家安全、社会秩序和公共利益等方面可能造成的危害程度等因素,依据《管理办法》,参照《定级指南》所提供的定级方法,综合确定信息系统的安全保护等级。在确定等级的过程中,要最大限度地避免定级的盲目性、随意性,力争做到定级准确、科学、合理。
3.及时备案,加强对定级工作的监督、检查和指导
为全面掌握基础信息网络和重要信息系统的单位和系统的基本情况,保护重点领域的重要信息网络和信息系统,凡是安全保护等级为第二级以上的信息系统运营使用单位或主管部门要按照《管理办法》的要求,到公安机关进行备案。公安机关受理备案后要对备案材料进行审核,加强对重要信息系统安全等级保护定级工作的监督、检查和指导;对定级不准的,要及时通知备案单位重新定级。
4.依据《管理办法》和技术标准,开展整改、测评等工作
信息系统的安全保护等级确定后,运营使用单位要按照信息安全等级保护管理规范和技术标准,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作,建设符合等级要求的信息安全设施;参照信息安全等级保护管理规范,制定并落实安全管理制度;选择符合《管理办法》规定条件的测评机构,依据技术标准对信息系统安全等级状况开展等级测评,使其尽快达到等级要求的安全保护能力和水平。
五、加大力度,确保福省重要信息系统安全等级保护工作任务落到实处
随着北京奥运会的日益临近,特别是“科技奥运”和“数字奥运”是2008年北京奥运会的一大亮点,信息安全等级保护的工作任务艰巨,责任重大。福建省公安、保密、密码工作和信息化等部门要密切配合,及时开展监督、检查,严格审查信息系统所定级别,积极开展备案、整改、测评等工作。同时,充分利用广播电视、报刊杂志、互联网等媒体,加大对国家信息安全等级保护制度的宣传力度,积极开展面向不同层次、不同对象的宣传、培训,以确保福建省重要信息系统安全等级保护工作落到实处。
1.明确职责,落实责任
各级公安机关要积极向当地党委、政府专门汇报,主动争取党委、政府对信息安全等级保护工作的重视和支持;或者成立专门的等级保护工作直辖市领导小组,加强对定级工作的领导,研究制定定级工作实施方案。各运营使用单位及其主管部门要按照“谁主管谁负责、谁运营谁负责”的要求,明确主管领导和责任部门。各信息系统主管部门要切实加强对定级工作的组织、领导,落实等级保护各项责任,督促、指导本行业、本系统开展定级、备案、建设整改等工作。
2.密切配合,通力协作
各级公安机关作为开展等级保护工作的牵头部门,要加强同保密、密码工作、信息办等其他信息安全职能部门的协调、配合,尽快建立健全信息安全等级保护监管工作的协调配合机制;要主动与信息系统主管部门交流沟通,督促配合其组织下属信息系统运营、使用单位建立信息安全责任制,建立并落实等级保护制度,从而确保等级保护工作的顺利、有效实施。
要通过安全保密检查,各计算机信息系统安全管理重点单位的计算机安全保密意识得到进一步提高,信息安全保密管理措施得到进一步贯彻落实,信息安全保密长效机制得到进一步的健全和完善,计算机信息系统和信息的管理得到进一步的规范和加强。
二、工作内容
(一)保密检查:计算机信息系统和信息网络安全保密管理制度以及技术措施的落实情况。
(二)信息安全检查:网络重点单位信息网络安全检查,包括安全组织成立、安全管理制度建立、安全措施落实情况。
(三)国家安全事项检查:计算机网络涉及国家安全事项。
(四)重要信息系统安全监测(包括网络安全和保密技术检测)。
(五)安全管理技术人员培训。
(六)各有关部门充分利用联合检查平台深化本部门的其他重点工作。
三、组织领导
(一)市里成立联合检查领导小组。领导小组是联合检查工作的组织协调机构,由五部门有关负责同志组成:
叶成富(*市国家保密局副局长)、陈海斌(*市公安局副局长)、揭育辉(*市国家安全局副局长)、李永良(广东省电信有限公司*市分公司,副总经理)、廖国树(*市信息产业局,副局长)。
领导小组下设工作小组和办公室,工作小组由五部门相关处室负责同志组成,负责工作的联络和实施检查。办公室设在牵头单位,负责日常工作。本年度工作由*市公安局牵头组织,下一年度工作由轮值单位牵头组织。
(二)各县(市)参照市模式成立相应机构,建立联合工作机制,有关单位落实人员开展信息安全保密检查工作。
(三)分工情况:市联合安全保密检查领导小组负责市直单位的信息安全保密检查,并组织对各县(市)工作开展情况进行督查。各县(市)检查领导小组负责本辖区内各单位的安全保密检查。
四、时间安排
(一)准备阶段:6月中旬—7月上旬。
1、召开市五部门领导小组和工作小组会议,研究、制定工作方案。
2、部署各县(市)开展安全保密检查工作。
3、市保密、公安、国家安全、信息、电信等五部门各自指导下级业务部门开展联合检查工作小组成员的培训工作。
4、编订安全保密工作检查指引。
5、确定自查对象。
(二)自查阶段:7月上旬—7月中旬。
发出通知和检查指引,要求各相关单位按照通知的要求和指引内容的提示,认真组织开展信息安全保密自查工作。
(三)抽查阶段:7月中旬—8月上旬。
市安全保密联合检查领导小组根据工作开展情况,研究确定重点抽查单位,派出工作组全面开展信息安全保密抽查工作。并督促相关单位做好准备,迎接省联合检查组的检查。
(四)总结阶段:8月中旬—8月下旬。
1、联合检查领导小组对抽查和各单位的自查情况进行总结,10月5日前将工作开展情况上报省联合检查领导小组。
2、召开五部门领导小组、工作小组会议,总结本年度的工作,初步议定明年工作计划,并对有关资料进行交接。
五、检查范围
检查的范围主要是计算机信息系统重点安全保护单位(简称:“重点单位”),包括:涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统及其单位。具体包括:
1、县级以上的国家机关、国防单位;
2、财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的单位;
3、国家及省重点科研、教育单位;
4、国有大中型企业;
5、互联单位、接入单位及重点网站;
6、向公众提供上网服务的场所。
六、检查方式
采取单位自查、汇报,检查小组组织实地检查、检测等多种方式进行。
七、人员培训
培训对象是全市各计算机信息系统重点安全保护单位的网络管理维护技术人员,参加安全保密培训和信息网络安全专业技术人员继续教育培训。各重点单位在开展自查工作中,须将本单位的自查工作情况总结和本单位从事计算机信息系统或网络管理维护的技术人员名单、联系方式7月30日前报送市联合检查领导小组的牵头组织单位(20*年牵头组织单位是*市公安局)。8月底前要分期分批完成对全市重点单位网络管理技术人员的培训工作。培训完成并通过考试后,颁发有五个部门统一发的保密培训证书和信息网络安全专业技术人员继续教育证书。培训的师资为*电视大学及其教学点。
六、工作要求
(一)高度重视,加强工作的组织领导。这次检查,是省保密委员会和省公共信息网络安全管理领导小组部署的一项重要工作,是在新时期下加强和做好信息安全保密工作的重要环节。开展信息安全保密检查工作,对及时掌握本地计算机信息管理重点单位的信息安全保密工作和管理的状况,及时发现存在的安全保密隐患和漏洞,有针对性采取有效措施加强管理,增强信息安全保密意识,提高信息安全保密防范能力具有十分重要的意义。各单位要从讲政治、讲大局出发,从构建和谐平安网络环境的高度,充分认识到信息安全保密检查工作的重要性和必要性。要切实落实工作责任,明确工作要求,加强对安全保密检查工作的组织领导,确保我市的安全保密检查工作取得实效。
(二)明确职责,加强合作。各部门要按照职责分工,充分发挥各自职能优势,齐抓共管,全面加强合作,建立、健全高效的工作协作机制,全面、深入地开展我市信息安全保密检查工作。公安机关作为今年的牵头单位,负责此项工作的协调组织和部署实施,并加强对重点单位及互联网服务单位信息网络的安全检查工作;保密部门作为保密工作的主管部门,重点检查计算机信息系统安全保密工作情况;国家安全部门重点对信息网络涉及国家安全的事项进行检查;信息化主管部门重点加强信息行业的管理和协调监督;通信管理部门重点加强对基础电信企业及互联网行业的管理和协调监督。
(三)编订指引,规范检查。各部门要根据各自职能、业务特点和工作情况,认真组织人员编订信息安全保密检查的工作指引,明确检查的项目、条款和详细内容、工作要求等,以便进一步统一和规范信息安全保密检查工作的操作环节。
七、相关的法律法规和文件
开展信息安全保密检查、培训工作的依据和参考文件、资料如下:
1、《中华人民共和国保守国家秘密法》
2、《中华人民共和国国家安全法》
3、《刑法》
4、《中共中央关于加强新形势下保密工作的决定》(中发[*]16号)
5、中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见(中办发[20*]27号)
6、中办、国办《关于进一步加强互联网管理工作的意见》([20*]32号)
7、《〈关于加强信息安全保障工作中保密管理的若干意见〉的通知》(中保委发[20*]7号)
8、《互联网信息服务管理办法》
9、《计算机信息系统国际联网保密管理规定》
10、《计算机信息系统保密管理暂行规定》
11、《信息安全等级保护管理办法(试行)》
12、《涉及国家秘密的计算机信息系统分级保护管理办法》
13、《关于加强技术产品使用保密管理的通知》([20*]3号)
14、《计算机信息网络国际联网安全保护管理办法》
15、《互联网安全保护技术措施规定》
16、《广东省计算机信息系统安全保护管理规定》
17、《公安部、人事部〈关于开展信息网络安全专业技术人员继续教育工作的通知〉》(公信安[20*]526号)
18、《信息安全技术教程》
二是要建立统一的食品安全信息管理和综合服务平台。食品从生产到消费、从土地到餐桌的整体链条中的食品安全监管职责,涉及到多个部门。所以食品安全信息管理必须要做到有效的统筹规划、协调和协作,来保证各地方和部门间信息互联互通、资源共享。各部门食品质量监督检查的信息以及相关法律法规及政策等信息均通过此平台向社会,相关部门要将与食品卫生质量安全有关的信息收集汇总、分析整理、及时传递、定期向社会。各部门所的信息必须与食品安全(或与日常生活安全)相关。信息的来源遵循科学的原则,保证准确、及时、客观、公正。信息人对所的信息承担责任。同时要建立畅通的信息监测和通报网络体系,逐步形成统一、科学的食品安全信息评估和预警体系,及时研究分析食品安全形势,对食品安全问题做到早预防、早发现、早整治、早解决。
信息化技术标准委员会副主任委员崔书昆认为,在基础信息网络和重要信息系统的安全严重关系到国家安全、社会稳定以及人民群众切身利益的今天,信息安全问题已然成为事关全局的战略性问题。近年来,有关部门围绕信息安全保障体系建设,在信息安全等级保护、风险评估、标准制定、产品开发及打击各种网络违法犯罪活动等方面取得了积极进展。在这种情势下,将信息安全等级保护确定为提高国家信息安全保障能力,维护国家安全、社会稳定和公共利益的一项基本制度,是非常必要的。
可以这样理解,我国信息安全各项工作快速推进,信息安全风险评估工作和保障体系建设、信息安全管理工作、信息安全法制化和规范化建设、信息化基础设施和体系建设取得了重要的成效。特别是从2007年7月20号开始,全国重要信息系统定级工作已经开始,并在各行业、各部门、各单位的支持下,取得了丰硕的成果。
从2008年开始,公安部会同国家保密局等部门,在重要信息系统定级工作的基础之上,部署和开展深入推进信息安全等级保护工作,它主要分为三个方面:
第一,依据国家行业标准,从管理和技术两个方面,开展信息系统安全建设整改,建立并落实安全管理制度,落实安全责任制。
第二,根据等级保护标准开展风险评估、灾难备份、应急处置、安全检查等工作。
第三,对信息系统应用的一些重要单位,开展等级保护工作检查。
公安部网络安全保卫局郭启全处长说:“目前全国范围内,大规模的重要系统定级工作已经基本完成,相关资料目前集中到公安部进行管理。定级工作的主要成效是了解重要信息系统的底数,掌握国家信息安全的基本情况,为全面贯彻落实信息安全等级保护制度,推动国家信息安全保障等工作的深入发展奠定坚实的基础。同时,某些地方、企业或者单位没有完成定级工作,但会纳入到我们下一阶段的检查工作当中完成。另外,有些企业会随后逐步执行该工作,不会影响国家等级保护制度的大规模推动。”
实施等级保护,充分体现了“适度安全、保护重点”的目的,可以把国家的重要网络、重要系统挑出来,把国家有限的精力、财力投入到信息保护当中去,提高国家基础网络和重要信息系统的安全保护水平,同时提高信息安全保障工作的整体水平。
奥运留下的财富
“2008年北京奥运会的信息网络安全工作给我们留下了很多财富。”郭启全曾经说过,奥运会对我们国家的信息网络安全工作进行了一次大考。它既考验了我们国家信息网络安全的工作,同时也考验了等级保护主管部门、公安部和很多部委的行业主管部门的信息安全工作。在这次大考中,各部门均表现得很优秀。在北京奥运会期间,无论是核心网络还是信息系统,都遭受了大规模的攻击和入侵,却没有出现相关安全事故,支撑北京奥运会顺利举办,这是我国信息网络安全领域经历的考验。
实际上,奥运会取得的经验和公安部下一步等级保护工作之间存在密切的相关性。公安部和有关部委会借鉴奥运会信息安全网络经验,充分利用好奥运留下的财富,进一步开展今后的工作。
记者了解到,在北京奥运会之前,成立了以公安部牵头的包括海关、银行、广电等14个部委参加的信息网络安全指挥部。由于有了这样的指挥部,使得各项工作的落实有了一个组织保障。如果没有这个指挥部,大家各干各的,在北京奥运会期间便无法保证重要系统和网络的安全。
在2008年,国家安全的核心问题便是保障奥运的安全,奥运安全采取的第一个措施就是等级保护。郭启全介绍说:“公安部把奥运核心网络和涉及奥运会的系统都定级、备案,针对风险和重要性搞等级测评和风险评估,反复查找问题、漏洞、脆弱性和安全风险。从历史经验来看,总会有一些黑客试图攻击奥运系统。所以,在这些黑客攻击之前,我们就需要开始做严格的攻击性自测。找到问题后进行系统加固,并且是有针对性地进行加固。这种安全建设、整改、加固还有等级测评,提升了我们的系统防范能力。”
郭启全强调:“我们当时还专门针对北京奥运会提出了风险评估的指南。北京奥运会期间最大的风险是什么?其实就是来自黑客的攻击破坏,所以搞风险评估要针对最大的风险去做。举个例子,我到国家体育总局去了三次,就是研究他们的网络安全问题、网站安全问题,这就有针对性,搞等级保护、风险评估非常有针对性。这使得我们的风险找得准,漏洞找得准,问题找得准,因此相关措施就有针对性。”
2009年的新工作
中国工程院院士沈昌祥指出,目前我国信息与网络安全的防护能力还处于发展的初级阶段,有些应用系统处于不设防状态。国防科技大学的一项研究表明,我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是攻击重点。
由于奥运网络和信息系统开展了等级保护工作,并对等级保护工作的政策标准、工作环节进行了检验,所以等级保护下一步的工作部署将充分借鉴北京奥运会的经验,健全完善等级保护领导体制和协调配合机制,例如等级保护原来有些领导体制可能还要进行补充,明确重点工作对象,比如说拿三级系统作为重点工作对象。
郭启全说:“我们会严格落实责任制,认真抓好三点工作,计划三年内完成安全系统的整改工作,总的目标就是:能力提高,事故降低,等级保护制度得到落实,国家信息网络安全基本得到保障。”
1强化安全管理意识
航空管制信息安全管理工作人员的信息安全管理意识对于航管信息安全管理会产生直接的影响,也是航空管制信息安全管理过程中的重要因素。航空管制信息安全管理过程中出现的安全漏洞,很大程度上就是由于相关工作人员安全意识的淡薄,在工作中对自已要求不严,从而忽视了信息安全的重要性。为了强化航空管制信息安全管理工作,就必须注重对工作人员信息安全管理意识的强化。其主要分为以下几个方面:1)积极强化航空公司的各级领导信息安全意识,首先确保最高决策者始终拥有高强度的安全意识,并且以身作则,在自己的实际工作中体现出对安全管理得重视,这样才能带动各级工作不断提高自身的信息安全防范意识。信息安全管理工作,主要内容是“三分技术,七分管理”,各航空工作人员应该始终将技术与管理结合起来,作为约束自己日常工作行为的基本准则。强化工作人员的信息安全意识,需要对其进行定期系统的信息安全教育(如信息安全管理知识讲座等),以此为手段不断发展航空管制人员的信息安全知识水平,促使每一位工作人员都能拥有高度的自主安全管理意识。2)注重对航管人员自身信息技术素质水平的培养。在航空管制信息安全管理工作中,良好的专业素养以及熟练的操作能力是每一位工作人员都必须具备的技能。况且,随着信息技术与人工智能技术逐渐的深入航空领域,在以后的航空管制工作中,若是没有一定的信息技术专业知识,航管人员就无法准确高效的把握航管新装备和新技术。同时,航管人员在学习信息技术知识的过程中,还能开拓自己的眼界,丰富自身对现代化技术的认识,在强化自身工作能力和安全意识的同时,还能为整个航空领域的发展提供帮助,确保航管信息安全管理工作的顺利进行。3)注重航管信息安全管理观念创新。在这个信息化的时代,各个领域都在飞速发展。日新月异的信息技术,大量的新型航空管制理念,都要求航空管制信息安全工作要随着时代的发展不断变迁、创新。不仅如此,由于航空管制信息安全直接影响着飞机的飞行安全和乘客的人身安全,相关人员应该始终保持本公司的运营理念与国际的新理念接轨,根据市场需求不断改善航管信息安全管理目标和具体实践措施,创造属于我们这个时代的航空管制信息安全管理模式。将航管信息安全管理的策略落到实处,确保航空运行过程中各个环节的信息安全[1]。
2抓住主要矛盾
要想最大程度的发挥出航管信息安全管理工作的作用,航空公司的决策者和相关工作人员就得明确航管信息安全管理过程中的重难点,只有这样,才能保证有目标、有计划的施以措施。航管人员务必要高效的解决在航管信息安全管理工作中出现的各种矛盾,下文就以其中存在的主要矛盾为例说明。航管信息安全管理的根本目的是保证航管信息的完整性、可控性及保密性等,除此之外,还需要对航管信息资料进行防御、检测、抑制、恢复和管理,从多方面着手,保证航管工作的质量。航管信息管理工作的重点是管理和控制航空管制信息系统,其主要是对航管系统层、网络层以及应用层进行安全控制。航管工作中的系统层管理指的是对硬件和软件的安全管理,而且软件安全管理是整个航管信息安全管理工作中的重点。对于硬件系统的安全管理工作,一般将其列入物理安全范围,主要是防电磁辐射、电子干扰等因素[2]。在应用软件这一层面上,航管信息系统有时候会遭到黑客的侵袭,因此,相关技术人员务必要做好防“黑客”、防病毒的准备工作,而且在此基础上,还得不断恢复信息管理系统,优化操作系统的可行性和安全性,确保航管信息安全管理的效率。在加强软件系统管理工作的同时,还要对网络层面的安全管理进行加强。其主要包含以下几点:网络报警、网络恢复、数据保护、密钥安全及内部认证等。对于网络层面安全管理工作的加强,工作人员应该将重点放在各处子网的出入口设备上,同时,软件设施方面也应配合硬件设施,积极研发嵌入式操作系统,不断创新,应用更高水平的数字签名技术,对网络层进行加密。
3完善航管部门信息安全防范体系
俗话说:“无规矩,不成方圆”。要想充分完善航管信息安全管理工作,对航管信息进行有效控制,航管部门就需要根据自身的实际条件不断健全航管部门的信息安全管理体系。所以,工作人员就要提前做好充分的市场调研,就目前市场上的航管信息安全管理机构设置进行讨论研究,仔细观察整个机构设置的合理性和可行性,对各个部门的航管信息安全管理职能进行明确划分,使信息安全管理要求与业务流程联系起来,最大程度的发挥出航管信息安全管理机构的作用。不断完善航管信息安全管理制度,加上安全管理体系的建设,实行统一规划、统一管理与统一监督。时刻与国际先进的技术保持联系,将自身的发展与信息技术和人工智能紧密联系起来,将本航空公司的安全管理体系至于本行业发展的前沿。在航管过程中,需要使用的仪器设备要尽量采用国产装备,特别是某些涉及到自主关键技术机密以及中国自主知识产权的核心仪器设备。与此同时,工作人员还应该注重加强对网络安全系统的规范管理制度,逐渐建立出相应系统的航管信息安全管理标准和统一的航管信息安全管理综合评估体系以及针对航管信息的获取和应用等,需要明确的制定出切实可行的安全管理措施体系。由此可见,在航管信息安全管理的过程中,始终不能脱离完整、规范的航管信息安全防范体系,只有通过航管部门系统全面严格的控制把关,才能高效地处理航管信息安全工作中出现的各种问题。在日常的航管部门信息安全管理工作中,工作人员务必要注意两点,一是加强对航管人员的信息安全教育。要定期组织全体航空管制信息安全管理人员对工作中的专业知识以及某些设备的操作技术进行学习,不断的对航管人员注入最新的航管理念,对航管人员的航空管制保密常识进行培训,加强信息安全教育,确保每一位航空管制人员都拥有深刻的信息安全意识,以保证航空飞行安全。二是对整体航管人员实行保密信息封锁制度。航空公司应该根据实际情况制定出适合自身发展的电子设备保密管理制度,控制工作人员与外界不必要的联系,始终严格约束所有工作人员的言行举止,切忌在日常交流以及联系中向外界流失掉机密信息。不仅如此,航空公司中的任何以为工作人员都不允许以任何一种形式对外界透露公司内部的运行情况,更不能泄露涉及航管和飞行安全的信息[3]。
4健全航管信息安全管理法规制度
一、引言
在社会不断向前发展的背景下,计算机的应用越来越广泛,改变了传统的信息管理模式。虽然计算机网络具有很多优点,但是计算机在应用的过程中,还是存在很多的问题,在提供信息和检索信息的同时,也面临着很多隐患。在这样的条件下,一旦信息泄露,就会给信息项目带来严重的打击。因此,我们应该充分发挥主观能动性,加强各方面的管理,特别是网络安全,从而更好的防止信息外漏,避免造成严重的影响。在计算机应用的过程中,还有可能出现修改和非法窃取的现象,这也是我们需要及时解决的问题,对于我们及时掌握和控制网络信息安全隐患是非常重要的。
二、铁路网络信息安全的概念和意义
2.1概念
信息数据的完整性和信息系统的安全性构成了整个铁路网络信息的安全。其中信息数据的完整性,就是在一定的条件下,信息数据不发生任何损坏或者丢失,这样才能确保铁路网络信息完全的可靠性和准确性。铁路网络系统的安全性,能够防止有人故意冒充、窃取和损坏系统中的数据,导致事故的出现。
2.2意义
根据信息安全自身的特点以及信息的实际情况。根据实际工作经验得出,铁路网络信息安全在实施的过程中,需要以铁路信息安全技术做支撑,在这个过程中,还需要在流程、审查和教育等方面加强协同,从而构建一个全面协同的机制,最终形成一个适合信息管理的完整的信息安全体系。为了更好的支持信息项目的发展,需要始终不断坚持自身的改进能力,这样非常有利于网络信息安全的发展。
三、铁路网络信息存在的安全隐患
3.1铁路网络管理方面的问题
随着社会不断发展,科技不断进步,从而迎来了网络时代。在这样的背景下,网络信息化,具有覆盖面广、使用人员多的特点,很多资料、信息系统的管理方面还存在很多漏洞,这些都是因为很多工作人员缺乏保密意识,长而久之,就会造成数据信息资料、工作文档等在网络上不安全、不正确、让信息不能够实时的进行传输和管理。
3.2外部威胁
网络具有方便、快捷的特点。但也面临着遭遇各种攻击的风险。病毒在网络的传播中的危害不可小觑,病毒通过网络传播,致使网络性能下降。在现在这个网络信息这么发达的背景下,很多黑客经常利用网路攻击服务器,从而去破坏、窃取一些重要的信息,这样就会给网络系统带来严重的损失。
四、铁路网络信息安全的控制策略
4.1建立完善的铁路网络信息管理体系
(1)在维护铁路网络信息的安全过程中,信息安全体系的建立必须坚持以网络信息安全的管理制度为基础,这也是网络信息安全工作的指导准则。
(2)在网络信息安全的实施过程中,我们需要建立网络信息安全管理组织,从而为网络信息安全体系的建立提供组织保障。为了能够让网络信息能够发展的更好,如果没有一个强有力的管理体系,就不能够保证信息安全按计划推进。
(3)在维护网络信息的安全工作中,我们必须加强网络信息的保密审查工作,落实网络信息的保密审查责任制,坚持“谁公开、谁负责、谁审查”的原则,从而规范保密审查制度,管理好各个科室、各个部门的工作人员。从而完善保密审查的工作制度、工作程序、工作规范和工作要求。
4.2开展充分的铁路网络信息安全教育
如果想要保证信息安全实施能够有较好的成效,我们还需要对干部职工进行充分的教育,从而提高工作人员的信息安全意识。对于一个信息单位来说,想要成功的实施信息安全体系,是和工作人员的信息安全意识分不开的,在一定的过程中,还起着决定性因素。
提高工作人员的安全意识,具有很多种方法。其中最为直接有效的是对工作人员开展信息安全教育,从而充分利用起单位内部的舆论宣传手段,比如:观看警示教育片、保密知识培训、签订保密承若书、保密专项检查等,通过这些工作的发展,对提高工作人员的信息安全意识具有一定的作用。除了加强宣传之外,还需要有一些强制的措施,其中可以将工作人员的信息安全教育纳入绩效考核体系内,确保信息安全能够准确实施。
4.3选择合适的铁路网络信息安全管理技术
在信息安全的管理中,安全管理技术起到决定性的作用,在整个安全体系中,技术也起着基础性的作用。
(1)为了保证信息免遭窃取、泄露、破坏和修改,我们基本上都采取的时候设置密码来进行保护。其中我们采取较多的安全措施包括:采用数据备份、访问控制、存取控制、用户识别、数据加密等。
(2)在网络信息的安全管理中,其中包括设置防火墙。这是一种访问控制产品。按照实际的工作经验,这种产品在一定的程度上能够强化安全策略,从而限制暴露用户点。防火墙的设置是在内部网络与不安全的外部网络之间设置的屏障,从而防止网络上的病毒、资源盗用等传播到网络内部,从而达到阻止外界内部资源的非法访问,防止内部对外部的不安全访问。
(3)在计算机的病毒防范工作中,其中病毒防范和堵住操作系统本身的安全漏洞,就是为了防止病毒感染和病毒传播。在这样的过程中,我们还必须坚持使用有安全专用产品销售许可证的计算病毒防止产品。不管是任何操作系统,都存在着安全漏洞的问题,只要计算机接人网络,它就有可能受到被攻击的威胁,因此,我们必须完成一个给系统“打补丁”的工作,修补程序中的漏洞,从而提高系统的性能,防止病毒的攻击。
(4)使用入侵检测技术系统能够主动检查网络的易受攻击点和安全漏洞。在一般情况下,我们能够比人工更先探测到危险行为,对防范网络恶意攻击及误操作能够提供主动的实时保护,经过实践经验得知,这也是一种积极的动态安全检测防护技术。
4.4加强网络和移动存储介质的管理
第二条安全生产信息宣传工作围绕安全生产的重点、难点、热点问题,反映我区安全生产工作的制度建设、机制建设和新思路、新情况、新问题、新经验,充分发挥参谋助手、桥梁纽带、组织协调、舆论监督作用。
第三条安全生产信息宣传工作应贯穿于信息收集、处理、传递、运用和存储等全过程,并做到实事求是、真实准确、内容新颖、及时快捷。
二、机构、人员及工作职责
第四条区安全生产委员会有关成员单位、区有关企业(以下简称“安全生产信息宣传单位”),应加强对安全生产党政信息及新闻宣传工作的领导,明确职责和任务,明确专门的安全信息员,积极主动、高质量地提供信息宣传服务工作。
第五条安全信息员主要职责:
(一)制定并组织实施年度安全生产信息宣传工作计划;
(二)做好信息的采集、筛选、加工、传送、反馈和存储;
(三)结合安全生产工作重点和领导关心的问题以及从信息中发现的重要问题,组织信息调研,提供有情况、有分析、有预测、有建议的专题信息;
(四)组织指导下级单位的安全生产信息宣传工作。
第六条区安委会办公室负责全区安全生产信息宣传工作的组织、协调和业务指导,采用办培训班、研讨会和外出进修、考察等多种形式,加强信息员的业务培训和交流,不断提高业务工作能力。
第七条建立信息员工作变动通报制度。各安全生产信息宣传单位负责安全生产信息宣传工作的人员如有变动、调换,应及时通报。
三、报送内容和要求
第八条安全生产信息报送的主要内容:
(一)贯彻区委、区政府和上级部门的安全生产工作重要决策和国家安全生产法律法规的情况
1.本部门贯彻落实重要决策的工作部署、安排、措施。
2.决策做出后广大干部群众的反映,包括正反两个方面的意见、要求和建议。
3.重要决策执行中出现的新情况、新问题,包括阶段性成效、影响决策落实的突出问题和进一步修正、完善有关决策的意见、建议等。
(二)本区域、本行业、本系统、本单位安全生产工作的重要情况
1.主要工作部署以及实施中的创新做法;
2.重点工作取得的新成绩和值得推广的经验;
3.在实际工作中出现的、值得引起上级业务主管机关重视的新情况、新问题以及对策建议;
4.可能造成重大影响的隐患性、苗头性问题;
5.上级机关要求收集、报送的信息;
6.领导关注的其他重要情况。
(三)强化负面反馈信息的上报工作。提高负面反馈信息的质量和数量,重点上报本部门或下级部门在安全生产政策执行和决策实施过程中遇到的、需要区政府、区安委会或上级安全生产监督管理部门重视或帮助解决的困难和问题。
第九条安全生产信息应力求做到:
(一)反映事件应全面准确,真实可靠,有根有据。信息中的时间、地点、事例、数字、单位应当力求准确,明白无误。
(二)急事、要事和突发性事件、事故,应立即报送;必要时,应连续报送。
(三)主题鲜明,文题相符,言简意赅,用简炼的文字和有代表性的数据反映事物的概貌和发展趋势。
(四)反映本区域、本部门的情况,应有新意,并突出自身特点。
(五)反映情况和问题有一定深度,透过事物的表象,揭示事物的本质和深层次问题,做到有分析、有预测、有建议;既要有定性分析,又要有定量分析。
(六)适应领导工作和科学决策的需要。
第十条报送重要信息的时间:
(一)凡重大安全隐患、存在问题及重大安全事故,应在发现或发生后按照有关时限规定及时上报,并及时续报事情进展、处理情况、原因和后果。
(二)定期收集和报送涉及安全生产工作的社情民意。
(三)每年要报送本部门年度主要工作任务完成情况。
(四)要求专题报送的信息,必须严格按照要求报送。
第十一条各安全生产信息宣传单位上报的信息,应经单位负责人审阅同意。各单位对所报信息文责自负。
第十二条区安委会办公室每半年向安全生产信息单位通报信息报送采用情况。
四、信息新闻稿件计分和奖励办法
第十三条为更好的开展信息及新闻工作,参照《**区党政信息工作管理办法》的规定,从2007年起,区安全生产委员会办公室将对登载信息和新闻稿件进行计分并发放相应稿酬。稿酬及奖励经费在区安全生产委员会办公室宣传专项业务经费中列支。
(一)《**信息》周刊采用一条计10分稿酬30元,问题建议信息采用一条计15分稿酬50元,短信息采用一条计5分稿酬10元;增刊采用一条计15分稿酬50元;专刊采用一条计15分稿酬50元;《决策参考》采用一条计40分稿酬150元。被《深圳安监简报》采用稿件的计分及稿酬参照《**信息》周刊执行。
(二)市委《信息快报》周刊采用一条计10分稿酬30元,日刊、上报信息采用一条计20分稿酬80元,短信息计5分稿酬10元;增刊、专报采用一条计40分稿酬150元;市委《信息调研》采用一条计60分稿酬250元。
(三)国家《安全生产工作动态》采用一条计60分稿酬250元。
(四)被区级报纸采用一条计10分稿酬30元;被市级报纸采用一条计15分稿酬50元;被省级以上报纸采用一条计20分稿酬80元。在重大版面或以较大篇幅刊登的稿件,计分及稿酬加倍。被电视和广播媒体采用稿件的计分和稿酬参照以上执行。
(五)被《现代职业安全》、《劳动保护》、《广东安全生产》采用一条计40分稿酬150元。在重大版面或以较大篇幅刊登的稿件,计分及稿酬加倍。
(六)区领导批示,每条次加15分奖50元;市领导批示,每条次加20分奖80元;省领导批示,每条次加40分奖150元;中央领导批示,每条次加80分奖500元。
(七)被“**区安全生产信息服务网”或“深圳市**区政府在线”采用一条计5分稿酬10元;被“深圳市安全生产监督管理信息网”采用一条计10分稿酬30元;被“广东省安全生产监督管理局网站”采用一条计15分稿酬50元;被“国家安全生产监督管理总局网站”采用一条计20分稿酬80元。
第十四条各单位每季度如实统计上报发稿情况,区安全生产委员会办公室按照标准核算稿酬,经区安全生产委员会办公室领导审定后,把稿酬发放给相关信息宣传员。
第十五条区安全生产管理委员会办公室每年以各单位及安全信息员的年度积分为主要依据,在年度积分超过100分的单位及个人中评出安全生产党政信息及新闻宣传工作先进单位和先进个人,并给予适当奖励。
第十六条对信息宣传考核评比工作中弄虚作假的单位或者个人,取消评比资格。
>> 社会公共安全管理预警机制设计 加强虚拟社会公共安全管理创新研究 试论社会食品公共安全防范及预警机制 风险社会与社会公共安全 完善公共安全事件预防预警和应急处置体系研究 拓展城市公共安全研究 社会参与:转型社会公共安全治理新路径 公共安全账单 《关注公共安全》 海棠通信:推进公共安全信息化 城市公共安全信息资源建设 论社会资本视角下的公共安全信息沟通机制的构建 以危险方法危害公共安全罪的研究 基于SWOT分析的校园公共安全管理研究 公共安全的研究领域与方法 城市边缘社区公共安全问题研究 风景区公共安全管理研究 高校公共安全风险管控机制构建研究 公共安全突发事件应急管理改进研究 “仇恨”型危害公共安全行为研究 常见问题解答 当前所在位置:/20111215)。。公共安全预警信息若采用集约的模式,如何设置统一主体,它与分属于各部门、各领域的公共安全预警信息工作如何衔接和规范,这些工作都需要逐步规范和统一。
(四)规制模糊,缺乏法律支撑
除了突发事件和应急事件预警信息外,我国现有的法律规范并未旗帜鲜明地对公共安全预警信息工作进行规范,这极大地限制了我国公共安全预警信息工作的发展。一是我国法律没有明确赋予公共管理机构公共安全预警信息的法定职责和义务。从社会管理角度而言,公共安全预警信息应当是公共管理机构社会管理和社会秩序维护的题中之义。因此,对于负有公共安全管理职责的机构、部门、行业应当具有及时向民众公共安全预警信息的法定职责和义务。在日常工作中加强对现实存在的抑或是潜在的公共安全风险的发现、捕捉,及时研究风险的特征、危害以及规避风险的方法,应当成为公共安全管理机构、部门重要的日常性工作。现有的法律对公共管理部门安全预警信息工作规定过于笼统,缺乏实施规范,使得公共安全预警信息工作,在实践中成为公共管理机构可以自由选择的义务,即做与不做、做多做少由公共管理机构自己说了算。二是公共安全预警信息形式(格式)在法律上缺乏规范。不同领域和行业的公共安全预警信息采取什么形式(格式),在法律上应当予以明确规范。这样既避免了法律纠纷,又有利于增加预警信息的权威性、公信力。实际工作中,警方提示、消费提示、消费警示等尚未规范的形式(格式),消解了公共安全预警信息在民众中的信任度。三是公共安全预警信息主体我国也没有在法律上予以规范。即哪些机构具有预警信息主体资格,以及主体的级别与权限如何设置等问题法律并未予以明确,实际中常导致主体相互冲突作者认为,按《食品安全法》的规定,食品安全风险警示信息的权属于卫生行政部门。可现实中工商部门也多有类似的消费警示信息,在的主体上也比较混乱。同时,现行法律对食品安全风险警示信息的级别没有作出限定,包括县一级在内的各级卫生行政部门都有权警示信息(参见:陈凤英.农夫山泉有点“冤”背后的制度缺陷. http://.cn/c/20100107/071816892321s.shtml/20111225)。。
四、公共安全预警信息机制的完善
依据目前我国公共安全预警信息存在的缺陷和我国社会转型时期公共安全预警信息要求,科学重构我国公共安全预警信息机制迫在眉睫。
(一)建立集约式的公共安全预警信息平台
既然集约是公共安全预警信息的基本要求,那么接下来的工作就是考虑如何建立这个集约平台了。显然,集约的关键在于寻找一个合适的支点。从我国现有的众多公共管理部门、机构来看,我们认为公共安全预警信息,以公安机关为支点建设平台再合适不过了。也即以治安预警情报为核心,打造公共安全预警信息集约平台。作如是考虑主要基于以下几方面的原因:首先,公安机关治安预警信息是公共安全信息预警最为重要的组成部分。由于我国正处于由小康向中等发达国家转型的重要时期,也是刑事治安案件的高发期,严峻的治安形势对公共安全造成了极大威胁,治安预警信息成为当前公共安全预警信息中最重要的、也是民众日常最为关注的信息。因此,以治安预警信息为支点建立公共安全预警信息集约平台,不仅有利于进一步发挥治安预警信息的社会效应,更有助于以治安预警信息带动其他公共安全预警信息的社会效用的正常发挥。其次,治安预警信息工作有着相对成熟的信息研判以及机制。情报信息工作是公安机关的基础业务工作,公安情报信息工作有着相对于其他公共管理部门情报信息更为成熟的工作机制、业务处理流程以及专门的情报信息处理人才,因此可以发挥公安情报的优势,将治安预警信息处置扩大拓展为以治安预警信息为支点,充分容纳其他公共安全预警信息的专门性预警信息处置工作,形成公共安全预警信息的集约化,提升公共安全预警信息整体社会服务能力。最后,治安预警信息已为民众所熟悉和广为知晓。说到底,为民众知晓才是公共安全预警信息的根本。因为治安预警信息已为社会、民众广泛知晓,所以以治安预警信息为支点,建构公共安全预警信息处置和平台,也是最经济的,在社会效果上也最为可靠。
(二)加强公共安全预警信息的法制规范
公共安全预警信息是一种无偿提供给社会公众的公益性信息。为公共安全预警信息提供法律支撑,有利于促进公共安全预警信息工作自身的规范化,更有利于消除实践中公共安全信息工作的制度障碍。当务之急是作好以下几方面的工作:一是要在法律上界定好公共安全预警信息的性质、公共安全预警信息所涵盖的领域。公共安全预警信息虽然具有公益属性,但其的形式(格式)和内容处置不当,便可能产生损害第三方利益的法律纠纷,这种情形往往会影响公共安全预警信息的权威性和公信力,重要的是它使得公共安全预警信息工作陷入了“合法性”的论争漩涡中。为了既避免公共安全预警信息在法律上引发纷争,又突出安全预警信息的公益性质,我们可以借鉴国外的相关经验,将此前公共安全预警信息统称为“公共警告”[9],建立以公安情报为中心的公共安全预警信息平台,进行统一,在法律上赋予其足够的权威性、合法性。二是制定、出台专门的法律规范,赋予公共管理职能部门公共安全预警信息的义务和职责。即通过制定相关的法律规范,从法制层面明确公共管理机构公共安全预警信息监测和提供的义务,明确公共安全预警信息的主体和级别,改变我国公共安全预警信息由各个公共管理部门自行决定与不、以什么方式、包括何种要素等混乱状态,从而使公共安全预警信息工作走上规范化,具有更明确的可操作性。三是从法律上规范公共安全预警信息的程序。即从信息流程和公共管理流程来设计公共安全预警信息在各个公共管理机构纵向和横向之间流动的方向和程序,规范公共安全预警信息来源、研究、传递、审核的相关工作程序,设计好公共安全预警信息的形式、内容,以及媒介的选择等。
(三)建立以公安机关为纽带的预警信息联动处理机制
既然我们选择以治安预警信息为支点构建公共安全预警信息集约机制,那么就必须建立以公安机关为纽带的公共安全预警信息多部门联动、协调处理机制,后者是前者的前提。从专业化的情报信息处置流程看,建立以公安机关为纽带的公共安全预警信息联动处理机制应该包含以下内容:一是建立负有公共安全预警信息职责的机构与公安机关之间的预警信息提供与共享的工作协作机制。即负有公共安全预警信息职责的公共管理机关是公安机关集约预警信息的信息来源,除开治安预警信息外,其他预警信息则有赖于相关部门和机构的及时供给。二是负有公共安全预警信息义务的公共管理机构内部,亦应当形成一套预警信息发现、生成、研究、整理、传递的信息工作机制。现代社会风险频仍,及时对社会进行预警,遏制社会风险转化为现实危害已经成为社会管理的重要任务。在此前提下,公共管理机构内部形成一套预警信息处理机制十分必要。预警信息要求相关部门在工作中要有敏锐的信息发现能力,能够拓宽各自领域公共安全预警信息来源,及时通过相关信息研判,判定安全风险存在的可能性、危害性,从而快速整理和传递给集约信息平台进行。显然,这项工作的完成需要专业化的预警信息工作机制。三是建立公安机关和负有公共安全信息义务的管理机关之间的预警信息双向反馈机制。即公安机关将有关公共安全预警信息后,就的效果及时向有关的预警信息提供者进行反馈。公共安全预警信息后所产生的社会效应,只能由相关的公共管理机构进行监测和评定,相关机构应当将预警信息的社会效应监测情况,向公安机关、公共安全预警信息中心及时反馈,以促进预警信息工作的改善提高。
(四)完善公共安全预警信息渠道
